Meta前员工偷走3万张照片，公司发现后瞒了1年才报警|meta|伦敦|前员工|工程师|报警

3万张私人照片，从Facebook服务器流向一个伦敦工程师的个人硬盘。这个数字相当于一个中型影楼的十年库存，而获取它们只花了几行代码。

伦敦大都会警察局11月的逮捕记录显示，一名30多岁的前Meta工程师涉嫌编写程序绕过安全检查，批量下载用户私密图片。案件由FBI转交英国警方，嫌疑人已获保释，下次报到时间是2025年5月。Meta对BBC的回应堪称标准危机公关模板：一年多前就已发现，立即开除，移交执法机构，通知受影响用户，升级安全系统。

但时间线经不起细究。

「一年多前」发现，2024年11月才逮捕。中间的空档期Meta在做什么？公司发言人没有解释为何调查拖延如此之久，也没有说明3万张照片中是否包含未成年人内容，或者这些图片最终流向何处。对于一家日活用户近30亿的平台，「已通知受影响用户」这句话背后，是多少人直到今天才知道自己的私密照片曾被陌生人完整备份？

这不是Meta第一次在安全问题上「先灭火、后报警」

2022年11月，爱尔兰数据保护委员会（DPC）开出2.65亿欧元罚单，原因是数亿Facebook用户的个人详情被泄露到网上。2024年9月，DPC又发现Meta在内部系统以明文存储部分用户密码，追加9100万欧元罚款。两次处罚间隔不到两年，违规性质却惊人相似：内部系统的权限管控漏洞。

这次的照片盗窃案暴露的是同一根软肋。工程师能「设计程序绕过安全检查」，说明Meta的访问日志审计要么存在盲区，要么响应延迟长到足以让3万张图片完成传输。一个类比：这相当于银行金库的监控摄像头拍到了小偷，但警报系统却在一年多后才触发。

更微妙的是案件管辖权的转移。FBI将线索交给英国警方，暗示嫌疑人可能涉及跨境数据流动，或者图片存储地点在美国境外。Meta的全球总部在加州，欧洲总部在爱尔兰，而作案者住在伦敦——这种地理分散性让追责变得复杂，也让「立即移交执法机构」的说法显得模糊。